מידע על תוכן האבטחה של iOS 26 ו-iPadOS 26

מסמך זה מתאר את תוכן האבטחה של iOS 26 ו-iPadOS 26.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

iOS 26 ו-iPadOS 26

הופץ ב-15 בספטמבר 2025

Apple Neural Engine

זמין עבור: iPhone 11 ואילך, iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שמיני ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43344: חוקר אנונימי

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43317‏: Mickey Jin ‏(‎@patch1t)

Audio

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43346: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Bluetooth

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-43354‏: Csaba Fitzl ‏(‎@theevilbit) מ-Kandji

CVE-2025-43303‏: Csaba Fitzl ‏(‎@theevilbit) מ-Kandji

Call History

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2025-43357‏: Rosyna Keller מ-Totally Not Malicious Software‏, Guilherme Rambo מ-Best Buddy Apps (‏rambo.codes)

CoreAudio

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43349‏: ‎@zlluny ביחד עם Trend Micro Zero Day Initiative

CoreMedia

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

CVE-2025-43372‏: 이동하 (‏Lee Dong Ha) מ-SSA Lab

IOHIDFamily

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43302‏: Keisuke Hosoda

IOKit

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2025-31255‏: Csaba Fitzl ‏(‎@theevilbit) מ-Kandji

Kernel

השפעה: נקודת קצה (socket) של שרת UDP שמאוגדת לממשק מקומי עלולה להפוך להיות מאוגדת לכל הממשקים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43359‏: Viktor Oreshkin

LaunchServices

השפעה: יישום עשוי לנטר הקשות ללא הרשאת המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-43362‏: Philipp Baldauf

MobileStorageMounter

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43355: ‏Dawuge מ-Shuffle Team

Notes

השפעה: תוקף בעל גישה פיזית למכשיר שאינו נעול עלול להיות מסוגל לצפות בתמונה שנמצאת בפתק הנעול האחרון שנצפה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2025-43203‏: Tom Brzezinski

Safari

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לניתוב מחדש לא צפוי של כתובת URL

תיאור: בעיה זו טופלה באמצעות אימות משופר של כתובות URL.

CVE-2025-31254‏: Evan Waelde

Sandbox

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43329: חוקר אנונימי

Shortcuts

השפעה: קיצור עלול להצליח לעקוף הגבלות של 'ארגז חול'

תיאור: בעיית הרשאות טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2025-43358‏: 정답이 아닌 해답

Siri

השפעה: ניתן לגשת לכרטיסיות 'גלישה פרטית' ללא אימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-30468: ‏Richard Hyunho Im ‏(‎@richeeta)

Spell Check

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2025-43190‏: Noah Gregory ‏(wts.dev)

SQLite

השפעה: עיבוד קובץ עלול להוביל להשחתת זיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-6965

System

השפעה: טופלה בעיה באימות קלט

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43347‏: JZ, Seo Hyun-gyu‏ (‎@wh1te4ever)‏, Luke Roberts ‏(‎@rookuu)

Text Input

השפעה: הצעות מקלדת עלולות להציג מידע רגיש במסך הנעילה

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2025-24133‏: Joey Hewitt, חוקר אנונימי, Thomas Salomon‏, Sufiyan Gouri ‏(TU Darmstadt)‏, Phil Scott ‏(‎@MrPeriPeri) ו-Richard Hyunho Im ‏(‎@richeeta)‏, Mark Bowers‏, Dylan Rollins‏, Arthur Baudoin‏, Andr.Ess

WebKit

השפעה: אתר אינטרנט עלול להצליח לגשת למידע מחיישן ללא הסכמת המשתמש

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

WebKit Bugzilla‏: 296153

CVE-2025-43356‏: Jaydev Ahire

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 294550

CVE-2025-43272‏: Big Bear

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 296490

CVE-2025-43343: חוקר אנונימי

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 296042

CVE-2025-43342: חוקר אנונימי

WebKit Process Model

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 296276

CVE-2025-43368‏: Pawel Wylecial מ-REDTEAM.PL ביחד עם Trend Micro Zero Day Initiative

הכרה נוספת

Accessibility

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-C-DAC Thiruvananthapuram שבהודו ול-Himanshu Bharti @Xpl0itme מ-Khatima על הסיוע.

Accounts

אנחנו מבקשים להודות ל-Lehan Dilusha Jayasingha‏, 要乐奈 על הסיוע.

AuthKit

אנחנו מבקשים להודות ל-Rosyna Keller מ-Totally Not Malicious Software על הסיוע.

Calendar

אנחנו מבקשים להודות ל-Keisuke Chinone (‏Iroiro) על הסיוע.

Camera

אנחנו מבקשים להודות ל-Descartes, ל-Yusuf Kelany ולחוקר אנונימי על הסיוע.

CFNetwork

אנחנו רוצים להודות ל-Christian Kohlschütter על הסיוע.

CloudKit

אנחנו מבקשים להודות ל-Yinyi Wu ‏(‎@_3ndy1) מ-Dawn Security Lab ב-JD.com, Inc על הסיוע.

Control Center

אנחנו מבקשים להודות ל-Damitha Gunawardena על הסיוע.

CoreMedia

אנחנו מבקשים להודות ל-Noah Gregory‏ (wts.dev) על הסיוע.

darwinOS

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

Device Recovery

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Files

אנחנו מבקשים להודות ל-Tyler Montgomery על הסיוע.

Foundation

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

iCloud Photo Library

אנחנו מבקשים להודות ל-Dawuge מ-Shuffle Team, ל-Hikerell (‏Loadshine Lab), ל-Joshua Jones, ל-YingQi Shi ‏(‎@Mas0nShi) ול-ChengQiang Jin ‏(‎@白斩鸡) מ-DBAppSecurity's WeBin lab על הסיוע.

ImageIO

אנחנו מבקשים להודות ל-DongJun Kim‏ (‎@smlijun) ול-JongSeong Kim ‏(‎@nevul37) ב-Enki WhiteHat על הסיוע.

IOGPUFamily

אנחנו מבקשים להודות ל-Wang Yu מ-Cyberserval על הסיוע.

Kernel

אנחנו מבקשים להודות ל-Yepeng Pan ולפרופ' ד"ר Christian Rossow על הסיוע.

libc

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

libpthread

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

libxml2

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

Lockdown Mode

אנחנו מבקשים להודות ל-Jonathan Thach‏, Pyrophoria ו-Ethan Day‏, kado על הסיוע.

mDNSResponder

אנחנו מבקשים להודות ל-Barrett Lyon על הסיוע.

MediaRemote

אנחנו מבקשים להודות ל-Dora Orak על הסיוע.

MobileBackup

אנחנו מבקשים להודות ל-Dragon Fruit Security (‏Davis Dai ו-ORAC落云 ו-Frank Du) על הסיוע.

Networking

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

Notes

אנחנו מבקשים להודות ל-Atul R V על הסיוע.

Passwords

אנחנו רוצים להודות ל-Christian Kohlschütter על הסיוע.

Phone

אנחנו מבקשים להודות ל-Dalibor Milanovic על הסיוע.

Safari

אנחנו מבקשים להודות ל-Ameen Basha M K,‏ Chi Yuan Chang מ-ZUSO ART ול-taikosoup‏, Dalibor Milanovic‏, HitmanAlharbi ‏(‎@HitmanF15)‏, Jake Derouin (‏jakederouin.com)‏, Jaydev Ahire‏, Kenneth Chew על הסיוע.

Sandbox Profiles

אנחנו מבקשים להודות ל-Rosyna Keller מ-Totally Not Malicious Software על הסיוע.

Security

אנחנו מבקשים להודות ל-Jatayu Holznagel ‏(‎@jholznagel)‏, THANSEER KP על הסיוע.

Setup Assistant

אנחנו מבקשים להודות ל-Edwin R.‎ על הסיוע.

Siri

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran שבמומבאי, הודו, ל-Amandeep Singh Banga, ל-Andrew Goldberg מבית הספר McCombs לעסקים שבאוניברסיטת טקסס, אוסטין (linkedin.com/andrew-goldberg-/‎), ל-Dalibor Milanovic ול-M. Aman Shahid ‏(‎@amansmughal) על הסיוע.

Siri Suggestions

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-C-DAC Thiruvananthapuram India על הסיוע.

Spotlight

אנחנו מבקשים להודות ל-Christian Scalese ול-Jake Derouin (‏jakederouin.com) על הסיוע.

Status Bar

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran שבמומבאי, הודו, ל-Dalibor Milanovic ול-Jonathan Thach על הסיוע.

Transparency

אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing ‏(wojciechregula.blog)‏, 要乐奈 על הסיוע.

User Management

אנחנו מבקשים להודות ל-Muhaned Almoghira על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Bob Lord‏, Matthew Liang‏, Mike Cardwell מ-grepular.com ול-Stanley Lee Linton על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Aobo Wang ‏(‎@M4x_1997), ל-Csaba Fitzl ‏(‎@theevilbit) מ-Kandji, ל-Noah Gregory (‏wts.dev), ל-Wojciech Regula מ-SecuRing (‏wojciechregula.blog) ולחוקר אנונימי על הסיוע.

Widgets

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran שבמומבאי, הודו, על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 19 בספטמבר 2025